1. Общие положения
Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей сервиса MaxPosty, доступного по адресу https://maxposty.ru. Оператором персональных данных является Маколов Артем Владимирович, статус — Физическое лицо, применяющее специальный налоговый режим «Налог на профессиональный доход».
Политика применяется к сайту, личному кабинету, входу через MAX или Яндекс ID, подключению каналов MAX, исследованию тем, созданию изображений, подготовке и планированию публикаций.
MaxPosty — независимый сервис и не является официальным продуктом MAX, Яндекса или OpenAI. Пользователь самостоятельно решает, какие функции включать и какие материалы передавать сервису.
2. Какие данные обрабатываются
Данные учётной записи
- идентификатор Яндекс ID, логин, email и отображаемое имя, доступные в выбранном OAuth-профиле;
- идентификатор пользователя MAX, имя, фамилия, имя пользователя, отображаемое имя и ссылка на изображение профиля, если MAX передал эти сведения;
- номер телефона кратковременно проверяется только если пользователь сам передал контакт официальному боту для входа, но не записывается в профиль MaxPosty и не сохраняется в базе данных после проверки; само сообщение с контактом может оставаться в MAX по правилам и срокам хранения платформы MAX;
- хэш серверной сессии, время входа и окончания сессии;
- состояние и срок действия одноразовой попытки входа через MAX.
Данные каналов и публикаций
- ID, название, публичная ссылка, изображение и доступное число участников подключённого канала;
- сведения о правах служебного бота и событиях его добавления или удаления;
- черновики, Markdown- и HTML-тексты, изображения, промпты, найденные источники и расписание;
- идентификаторы и состояние опубликованных в MAX сообщений.
Технические данные
Для защиты входа и сервиса могут обрабатываться IP-адрес, User-Agent, время и параметры запросов, сведения об ошибках и событиях безопасности. Состав инфраструктурных журналов зависит от фактически настроенного хостинга и должен быть ограничен необходимым минимумом.
Для оценки работоспособности и использования основных функций сервер хранит отметку о факте активности аккаунта за календарный день по UTC. В систему метрик передаются только суммарные значения активной аудитории и этапов работы с сервисом — без идентификаторов пользователей, текстов публикаций, поисковых запросов, IP-адресов и User-Agent.
Сервис не предназначен для обработки специальных категорий и биометрических персональных данных. Не добавляйте такие сведения, данные третьих лиц, пароли, коммерческую тайну и иную конфиденциальную информацию в тексты и запросы к ИИ без законного основания.
3. Цели и правовые основания
- создание и защита аккаунта, вход через MAX или Яндекс ID и поддержание сессии;
- подключение выбранного канала и проверка прав служебного бота;
- хранение и редактирование черновиков, изображений и расписания;
- выполнение поручений пользователя на публикацию, изменение или удаление поста в MAX;
- исследование темы и создание изображения по запросу пользователя;
- агрегированная оценка использования функций и надёжности сервиса;
- поддержка, диагностика, предотвращение злоупотреблений и исполнение требований закона.
Основаниями обработки являются заключение и исполнение Пользовательского соглашения, отдельное согласие пользователя, законные обязанности оператора и иные основания, предусмотренные законодательством Российской Федерации. Если обработка основана на согласии, пользователь может его отозвать.
4. Порядок и сроки обработки
Данные обрабатываются преимущественно автоматически: собираются, записываются, систематизируются, хранятся, уточняются, извлекаются, используются, передаются в строго необходимом объёме, блокируются, удаляются и уничтожаются.
| Категория | Обычный срок | Что происходит после |
|---|---|---|
| OAuth-state | до 10 минут | удаляется после использования или истечения срока |
| Одноразовая попытка входа через MAX | до 10 минут | поглощается после входа либо удаляется после отмены или истечения срока |
| Номер телефона из контакта MAX | только во время проверки входа | не записывается в профиль и не сохраняется после результата проверки |
| Авторизационная сессия | по умолчанию до 12 часов | удаляется при выходе или истечении срока |
| Дневная отметка активности аккаунта | до 35 дней | автоматически удаляется; в метриках остаются только суммарные значения |
| Профиль, каналы и контент | пока действует аккаунт или до удаления пользователем | удаляется в сроки, установленные законом и политикой резервного копирования |
| Журналы безопасности | только установленный оператором необходимый срок | удаляются или обезличиваются |
Основная база данных заявлена к размещению: Российская Федерация, сервер на территории Российской Федерации. Для персональных данных граждан Российской Федерации первичная запись и хранение должны выполняться в базе данных на территории России.
5. Поставщики и передача данных
Для работы отдельных функций данные могут передаваться следующим категориям получателей:
- Яндекс ID — для входа и получения разрешённых данных профиля;
- MAX — для подтверждения входа по добровольно переданному контакту, проверки канала и выполнения выбранных операций с публикациями;
- OpenAI — только при запуске исследования или создания изображения;
- поставщикам хостинга, резервного копирования, почты и безопасности — в необходимом объёме.
При использовании функций ИИ тема, инструкции и связанные материалы передаются OpenAI для формирования результата. Возможная трансграничная передача допускается только после выполнения оператором требований российского законодательства, определения получателя, страны, договорного основания и необходимых уведомлений. Если эти условия не выполнены, соответствующие функции не должны включаться в production.
Оператор не продаёт персональные данные. Передача для рекламы и рассылок не выполняется без отдельного предварительного согласия.
6. Файлы cookie и защита данных
Сервис использует только необходимые cookie для безопасного входа и поддержания авторизованной сессии. Рекламные и аналитические cookie сейчас не используются. Подробности приведены в уведомлении о cookie.
Одноразовые данные попытки входа через MAX не записываются в localStorage илиsessionStorage: браузер передаёт только защищённую HttpOnly-cookie, недоступную JavaScript-коду страницы.
Оператор обязан применять соразмерные рискам организационные и технические меры защиты. Данные для подключения не выводятся в браузер, токены хранятся только на сервере, а время сессий ограничено. Фактические правила разграничения доступа, резервного копирования, журналирования и реагирования на инциденты определяются инфраструктурой оператора и должны быть утверждены до публичного запуска. Ни один способ передачи и хранения не даёт абсолютной гарантии, поэтому пользователь также обязан защищать свой аккаунт и устройства.
7. Права пользователя
Пользователь вправе:
- получить сведения об обработке своих персональных данных;
- потребовать уточнения, блокирования или удаления неполных, устаревших или незаконно полученных данных;
- отозвать согласие и удалить аккаунт, если сохранение данных не требуется по закону;
- обжаловать действия оператора в Роскомнадзоре или суде.
Отзыв согласия не влияет на законность обработки, выполненной до его получения. Если без данных невозможно предоставить функцию, она или аккаунт могут стать недоступны. Уже опубликованные в MAX материалы не удаляются автоматически без отдельной команды пользователя.
8. Контакты и изменения Политики
Запрос о доступе, исправлении, удалении данных или отзыве согласия можно направить по адресу legal@maxposty.ru. Для идентификации запроса оператор вправе запросить разумное подтверждение личности.
Актуальная редакция всегда размещается по адресу https://maxposty.ru/privacy/. Существенные изменения публикуются до начала их применения, когда это требуется законом.